So verhindern Sie die unerlaubte Weitergabe personenbezogener Daten an Dritte

Die Weitergabe von personenbezogenen Daten an Dritte erfolgt durch die Zusammenarbeit mit externen Support-Mitarbeitern, Dienstleistern und bei der Nutzung von Cloud-Diensten oder KI-Tools.

Der folgende Beitrag skizziert die Grenzen der zulässigen Weitergabe personenbezogener Daten und zeigt, wie IAM-Maßnahmen Sicherheit und Auditierbarkeit herstellen.

Was versteht man unter Weitergabe personenbezogener Daten?

In der Datenschutz-Grundverordnung (DSGVO) ist „Weitergabe personenbezogener Daten“ nicht als eigener Begriff definiert. Gemeint ist die „Offenlegung“ personenbezogener Daten – z. B. durch Übermittlung, Verbreitung oder andere Formen der Bereitstellung.

Die Weitergabe personenbezogener Daten kann z. B. erfolgen, wenn im Rahmen einer Behandlung auf Gesundheitsdaten zugegriffen wird oder Kundendaten an Zahlungsprovider oder Konzerngesellschaften übermittelt werden.

Schon die technische Freischaltung oder Provisionierung von Daten kann eine Offenlegung darstellen, wenn diese einer Rolle (z. B. Ticketsystem an externen Dienstleister) zugänglich gemacht werden.

Wann ist die Weitergabe erlaubt?

Die Weitergabe bzw. Offenlegung von personenbezogenen Daten ist erlaubt, wenn nachArt. 6 DSGVO eine Rechtsgrundlage besteht. Fehlt diese, ist eine Weitergabe unzulässig.
Typische Rechtsgrundlagen für die Weitergabe von Daten an Dritte:

  • Einwilligung: nur tragfähig, wenn freiwillig, informiert, spezifisch und widerrufbar.
  • Vertragserfüllung: nur, wenn objektiv erforderlich (nicht „nice to have“).
  • Rechtliche Verpflichtung: konkrete gesetzliche Pflicht.
  • Berechtigtes Interesse: erfordert legitimen Zweck, Erforderlichkeit und dokumentierte Interessenabwägung inkl. geeigneter Schutzmaßnahmen.

Datenschutz bei Kundendaten verlangt Transparenz über die Weitergabe von Daten an Empfängergruppen und die Absicherung der Weitergabe durch Prozesse und technische Kontrollen.

Besondere Kategorien (Art. 9 DSGVO)

Personenbezogene Daten in besonderen Kategorien umfassen z. B. Gesundheitsdaten, genetische Daten oder biometrische Daten. Erforderlich ist zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO.

Konsequenz für IAM: Ein höheres Schutzniveau verlangt je nach Art der Daten angemessene Maßnahmen wie Step-up-Authentifizierung, restriktivere Rollenvergabe, erweiterte Protokollierung und erhöhte Schutzbedarfsklassifizierung.

Speziell für Gesundheits- und biometrische Daten setzen Organisationen auf phishing-resistente MFA und kontextbasierte Zugriffspolitiken, wie sie imImprivata Enterprise Access Management umgesetzt werden.

Drittlandtransfer (Kapitel V DSGVO)

Eine Datenweitergabe kann im Fall einer Übermittlung oder eines Remote-Zugriffs einen Drittlandtransfer darstellen (z. B. Support, Administration, konzerninterne Zugriffe).

Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten einem Empfänger in einem Staat außerhalb der EU bzw. des EWR offengelegt werden –laut EDPB Guidelines einschließlich Remote-Zugriff. Zusätzliche Anforderungen nach DSGVO müssen fallbezogen geprüft werden.

Dürfen personenbezogene Daten innerhalb eines Konzerns weitergegeben werden?

Ein generelles „Konzernprivileg“ gibt es nicht. Konzerninterne Datenübermittlungen sind Verarbeitungsvorgänge im Sinne der DSGVO und benötigen daher eine tragfähige Rechtsgrundlage, die Einhaltung der Transparenzpflichten sowie angemessene technische und organisatorische Maßnahmen (TOMs).

Hinweis: Konzerninterne Übermittlungen können mit sauberer Abwägung und passenden Schutzmaßnahmen je nach Einzelfall zum Beispiel auf berechtigte Interessen für interne Verwaltungszwecke gestützt werden.

Rollenklärung erforderlich

Innerhalb eines Konzerns entscheidet sich die datenschutzrechtliche Rolle einer Gesellschaft danach, wer tatsächlich über Zweck und Mittel der Verarbeitung entscheidet.

Diese Rollenverteilung ist in den Leitlinien des EDPB erläutert. Sie hat Folgen für die richtige Vertragsart, für Weisungsrechte, für Logging- und Nachweispflichten sowie für den Umfang von Audits und Rechenschaft.

Innerhalb eines Konzerns gilt: Jede Gesellschaft ist datenschutzrechtlich grundsätzlich eine eigene Stelle. Konzernzugehörigkeit ersetzt keine Rollenprüfung.

Wann ist die Weitergabe personenbezogener Daten an Dritte nicht erlaubt?

Die unerlaubte Weitergabe von personenbezogenen Daten an Dritte liegt vor, wenn einer der folgenden Voraussetzungen erfüllt wird:

  • Ungeeignete oder keine Rechtsgrundlage sowie kritische/unzulässige Zweckänderung
  • Unbefugte Offenlegung als Datenschutzverletzung (oft durch zu weite Berechtigungen)
  • Drittlandtransfer ohne gültiges Instrument bzw. ohne Schutzmaßnahmen
  • Weitergabe von Daten an Dritte durch Privatpersonen: relevant, wenn Mitarbeitende privat Kundendaten teilen

Checkliste Weitergabe von personenbezogenen Daten

  • Ist jede Weitergabe von Daten an Dritte einem Zweck und Art.-6-Rechtsgrund zugeordnet?
  • Sind Empfänger/Kategorien transparent dokumentiert?
  • Sind Rezertifizierung, PAM und zentrale Logs produktiv – inkl. Alarmierung?
  • Gibt es einen „Kill-Switch“ (Account Disable / Token Revoke) für Incidents?
  • Existiert für jeden Drittland-Remotezugriff ein dokumentiertes Transfer-Assessment inkl. Transferinstrument (Angemessenheit/SCC) und definierter technischer Zusatzmaßnahmen?

Risiken und Konsequenzen bei Verstößen

Risiken und Konsequenzen der unrechtmäßigen Weitergabe personenbezogener Daten sind Geldbußen, Schadensersatz, Reputationsschäden und strafrechtliche Konsequenzen.

Bußgelder: Die inArt. 83 DSGVO vorgesehenen Obergrenzen betragen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Auch im DACH-Raum wurden bereits zweistellige Millionenbeträge – insbesondere bei systematischen Verstößen gegen Transparenz-, Speicher- oder Zugriffskontrollpflichten – verhängt.

Schadensersatz: Die DSGVO begründet Ansprüche auf Ersatz materieller und immaterieller Schäden. Betroffene können bei der unerlaubten Weitergabe von personenbezogenen Daten an Dritte Schadensersatz verlangen, wenn ein Datenschutzverstoß zu einem Schaden geführt hat – ein Verstoß allein genügt nicht.

Strafrechtliche Konsequenzen (DE): Neben Bußgeldern und Schadensersatz können in Deutschland strafrechtliche Konsequenzen bestehen. Das BDSG stellt bestimmte vorsätzliche, unbefugte Verarbeitungen oder Übermittlungen personenbezogener Daten unter Strafe.

Die unbefugte Offenbarung von Berufsgeheimnissen – etwa im Gesundheitswesen – ist strafbar und kann auch bei fehlerhaft gestalteten Outsourcing-Konstellationen vorliegen.

Weitere Konsequenzen: Wenn Datenabfluss möglich ist, ist das selten ein reines Datenschutzthema: Konsequenzen berühren Governance, Audit und Cyber-Resilience – inklusive Meldepflicht und Haftungsfolgen.

So lässt sich die ungewollte Weitergabe verhindern

Eine wirksame Prävention verbindet klare rechtliche Rollen mitidentitätsbasierten technischen Kontrollen. Deshalb sind Imprivatas IAM-Bausteine wie IGA, PAM und MFA im Kontext „Weitergabe personenbezogener Daten“ zentral.

Datenfluss- und Rollenmodell als Grundlage für Governance

Transparenz ist die Grundlage jeder Zugriffskontrolle:

  • Dateninventar: Wo liegen Kundendaten? Wer ist fachlich verantwortlich?
  • Rollenbestimmung: Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortliche – anhand der tatsächlichen Zweck- und Mittelbestimmung.
  • Vertrags- und Transparenzfolgen: Art. 26/28 DSGVO, Informationspflichten, Transferinstrumente.
  • Empfänger- und Drittland-Mapping: Wer erhält Zugriff – direkt oder über Dienstleister?

Ziel: Zugriff nur bei begründeter Aufgabe – zeitlich, sachlich und organisatorisch begrenzt.

Privileged Access Management (PAM)

Privilegierte Konten sind ein besonders hohes Risiko für Datenabfluss. Ein konsequentes Least-Privilege-Prinzip ist eine Grundvoraussetzung für die Sicherheit personenbezogener Daten.

  • Trennung von Admin- und User-Identitäten
  • Just-in-Time-Admin mit Freigabe
  • Session Recording und Admin-Logging
  • Kontrollierte, auditierte Break-Glass-Prozesse

In Cloud-Umgebungen wird Identity & Access Management imBSI-C5-Kriterienkatalog als eigener Prüfbereich geführt.

Starke Authentisierung und risikobasierte Policies

Multi-Faktor-Authentifizierung soll phishing-resistent ausgestaltet werden. Für besonders sensible Daten, den Zugriff auf Gesundheits- oder Kundendaten oder administrative Änderungen ist eine Step-up-Authentifizierung vorgesehen.

Kontextbasierte Zugriffssteuerung (Conditional Access)erhöht das Schutzniveau weiter. Zugriffe werden zusätzlich kontextbasiert gesteuert – etwa nach Gerätezustand (managed/unmanaged), Standort, ungewöhnlichem Login-Verhalten oder Risikosignalen aus Threat-Intelligence-Systemen.

Token-Scopes dürfenbei API- und Service-Zugriffen nur die konkret benötigten Berechtigungen enthalten und müssen zeitlich begrenzt sein.

So unterstützt Imprivata bei der Umsetzung

Die unerlaubte Weitergabe von personenbezogenen Daten an Dritte ist das Ergebnis aus unklaren Rollen, zu breiten Berechtigungen, fehlender Nachvollziehbarkeit und externen Zugriffen. Dabei fehlt es häufig am Zusammenspiel aus Zweck, Rechtsgrundlage und technischen Kontrollen.

Genau hier treffen Datenschutz von Kundendaten und IAM aufeinander: Wer Datenflüsse rechtlich korrekt modelliert und sie technisch über Identitäten, Policies und Audit-Trails erzwingt, reduziert das Risiko von Datenabfluss und erhöht die Prüfungsfestigkeit.

Imprivata unterstützt Organisationen dabei, diese Anforderungen operativ umzusetzen.
Mit Lösungen für Enterprise Access Management, Privileged Access Management und Identity Governance lassen sich Zugriffe auf personenbezogene Daten konsequent rollenbasiert steuern, stark authentisieren und revisionssicher protokollieren. Funktionen wie Single Sign-on, phishing-resistente MFA, kontextbasierte Zugriffspolitiken sowie Session-Logging und Just-in-Time-Privilegien sorgen dafür, dass nur berechtigte Personen unter definierten Bedingungen Zugriff erhalten – und dass jede Datenoffenlegung nachvollziehbar bleibt.

You are currently browsing

Product availability varies by region. Would you like to choose a different region?

No thank you, I'd like to continue